web-dev-qa-db-fra.com

Puis-je remplacer mon contrôleur de domaine par Azure Active Directory?

J'ai actuellement un petit réseau avec quelques serveurs et environ 25 PC clients. Nous utilisons Office365 et avons une configuration de synchronisation AD à partir de notre serveur sur site. Nous avons également une configuration de connexion unique à l'aide d'ADFS.

Nous avons récemment remplacé tous nos serveurs sauf 2 par des machines virtuelles Azure.

La seule chose pour laquelle nous utilisons maintenant nos serveurs internes est Active Directory et ADFS.

Donc - ma question est la suivante ... Puis-je configurer un Azure Active Directory, synchroniser mon annuaire sur site avec lui, demander à Office365 de parler à Azure Active Directory, puis mettre hors service mes serveurs sur site?

Mes PC clients locaux s'authentifieront-ils auprès d'Azure Active Directory?

Si la réponse est "oui" - toute suggestion sur la façon d'y parvenir serait formidable. Si la réponse est "non" - des informations sur pourquoi ne seraient pas géniales!

Merci!

18
Chris Roberts

Réponse courte: Non

Réponse plus longue: Les clients locaux ne peuvent pas communiquer directement avec une instance Azure AD. Vos PC clients ne pourront pas l'utiliser pour l'authentification de connexion. Azure Active Directory n'est pas censé remplacer Active Directory sur site, c'est simplement un moyen de fournir des services d'annuaire à d'autres services dans votre locataire Azure, tels que O365 ou Intune.

Edit: Cette réponse n'est plus exacte à 100%. Avec Azure AD Join pour Windows 10, vous pouvez utiliser Azure AD pour l'authentification de connexion et l'accès conditionnel ainsi que l'inscription automatique dans Intune pour la gestion des stratégies. Ainsi, même si Azure AD Join n'est pas approprié pour la plupart des organisations, il est idéal pour les entreprises hautement mobiles ou les entreprises qui souhaitent une gestion améliorée des appareils BYOD.

10
MDMarra

Réponse encore plus longue : Comme MDMArra le dit dans sa réponse, les clients locaux ne peuvent pas s'authentifier actuellement avec Azure Active Directory (par exemple, ils ne peuvent pas se joindre à un domaine) . Sur la base de vos questions/commentaires, je pense que vous pourriez être intéressé par quelques possibilités:

Exécutez Directory Sync avec Password Sync (vous le faites peut-être déjà). De cette façon, Office 365 (et d'autres services en ligne) s'authentifieront auprès d'AAD, tandis que vos applications et clients locaux pourront continuer à s'authentifier auprès de l'AD local.

Si vous faites vraiment confiance à votre connexion réseau, vous pouvez également configurer un réseau virtuel Azure de site à site de vos locaux vers Azure et déplacer AD et ADFS vers des machines virtuelles dans Azure. Si vous choisissez de suivre ce chemin, je fortement vous recommande de lire sur Instructions pour le déploiement de Windows Server Active Directory sur les machines virtuelles Windows Azure . (Remarque: dans ce cas, vous pouvez continuer à utiliser Directory Sync avec AD sur un Azure VM comme vous le faites maintenant.)

3
Philippe Signoret